Yang pertama adalah kerentanan SITE CHMOD SERV-U dan kerentanan Serv-U MDTM, yang berarti Anda dapat dengan mudah mendapatkan izin SISTEM dengan menggunakan akun. Yang kedua adalah kerentanan overflow lokal dari Serv-u, yaitu Serv-U memiliki pengguna administratif default (nama pengguna: administrator lokal, kata sandi: #|@$ak#.|k;0@p), siapa pun dapat mengaksesnya melalui satu Akun dengan port lokal 43958 dapat menambah atau menghapus akun sesuka hati dan menjalankan perintah internal dan eksternal apa pun.
Saat ini, masyarakat mulai memperhatikan keamanan SERV-U dan mengambil beberapa tindakan yang relevan, seperti memodifikasi port manajemen, nomor akun dan kata sandi SERV-U. Namun, konten yang dimodifikasi masih disimpan dalam file ServUDaemon.exe, jadi setelah mengunduh, Anda dapat dengan mudah mendapatkan port, akun, dan kata sandi yang dimodifikasi menggunakan perangkat lunak pengeditan heksadesimal seperti UltraEdit.
Mulai dari SERV-U6.0.0.2, perangkat lunak memiliki fungsi kata sandi login. Jika kata sandi manajemen ditambahkan dan pengaturan diatur dengan benar, SERV-U akan jauh lebih aman dari sebelumnya. Sekarang kita memulai perjalanan setup SERV-U, menggunakan versi SERV-U 6.0.0.2.
Seperti kata pepatah lama, menara setinggi seribu kaki dimulai dengan fondasi, dan keamanan SERV-U dimulai dengan pemasangan. Artikel ini terutama menulis tentang pengaturan keamanan SERV-U, sehingga tidak akan menghabiskan terlalu banyak waktu untuk memperkenalkan instalasi, hanya poin-poin penting saja.
SERV-U diinstal di direktori C:Program FilesServ-U secara default. Misalnya, jika pengguna WEB tidak dapat menelusuri huruf drive instalasi, akan sulit baginya untuk menebak jalur instalasi. Tentu saja, setelah instalasi, pintasan akan dibuat di desktop dan menu mulai. Disarankan untuk menghapusnya karena umumnya tidak digunakan. Anda mungkin ingin bertanya, bagaimana cara masuk ke antarmuka pengaturan SERV-U? Ini sebenarnya sangat sederhana. Klik dua kali ikon Tray Monitor kecil di taskbar di sudut kanan untuk memulai antarmuka manajemen SERV-U.
Gambar 1: Memodifikasi direktori instalasi
Saat memasang, cukup pilih dua item pertama. Dua item berikutnya adalah instruksi dan file bantuan online. (Lihat Gambar 2)
Gambar 2: Hanya dua item pertama yang perlu dipilih saat instalasi. Gambar berikut adalah nama folder di grup menu mulai yang dihasilkan. Disarankan untuk mengubahnya ke nama yang kurang seperti SERV-U, atau hapus foldernya. (Lihat Gambar 3)
Gambar 3: Mengubah nama folder di grup menu mulai yang dihasilkan setelah instalasi
[Potong Halaman]
Setelah instalasi selesai, akan muncul wizard yang memungkinkan Anda membuat domain dan akun. Klik Batal di sini untuk membatalkan wizard. Akun yang dibuat oleh wizard akan menyebabkan beberapa masalah, sehingga domain dan akun dibuat secara manual di bawah. (Lihat Gambar 4)
Gambar 4: Klik Batal untuk membatalkan wizard
Kemudian klik opsi di depan Mulai secara otomatis (layanan sistem), lalu klik tombol Mulai Server di bawah untuk menambahkan SERV-U ke layanan sistem, sehingga dapat dimulai dengan sistem tanpa harus memulainya secara manual setiap saat. (Lihat Gambar 5)
Gambar 5: Tambahkan SERV-U ke layanan
Selanjutnya akan muncul antarmuka seperti pada Gambar 6. Tetapkan kata sandi dengan mengklik Set/Ubah Kata Sandi.
Gambar 6: Klik Set/Change Password untuk mengatur kata sandi
[Potong Halaman]
Kemudian akan muncul antarmuka seperti pada Gambar 7. Karena baru pertama kali menggunakannya tidak ada passwordnya, artinya password aslinya kosong. Tidak perlu memasukkan karakter pada kata sandi lama. Cukup masukkan kata sandi yang sama pada Kata sandi baru dan Ulangi kata sandi baru di bawah dan klik OK. Disarankan di sini untuk menetapkan kata sandi yang cukup rumit untuk mencegah orang lain melakukan peretasan secara brute force. Tidak masalah jika Anda tidak dapat mengingatnya. Hapus saja dan simpan baris LocalSetupPassword= di ServUDaemon.ini, dan Anda tidak akan diminta memasukkan kata sandi untuk login saat Anda menjalankan ServUAdmin.exe lagi.
Gambar 8: Membuat akun WINDOWS
Setelah membuat akun, klik dua kali pengguna yang dibuat untuk mengedit properti pengguna dan menghapus grup PENGGUNA dari "Milik".
Gambar 9: Hapus grup USERS dari afiliasi
Hapus centang "Izinkan masuk ke Terminal Server (W)" dari opsi "Profil Layanan Terminal" dan klik OK untuk melanjutkan pengaturan kami. (Lihat Gambar 10)
Gambar 10: Batalkan "Izinkan masuk ke Terminal Server"
Kami telah membuat akun di sini, dan sekarang saatnya menyiapkan akun di layanan. Sekarang kita perlu menggunakan akun yang baru saja kita buat. Anda belum lupa kata sandinya, jadi Anda akan membutuhkannya segera.
[Potong Halaman]
Temukan "Layanan" di alat manajemen menu mulai dan klik untuk membukanya. Klik kanan pada "Layanan Server FTP Serv-U" dan pilih Properti untuk melanjutkan.
Kemudian klik "Login" untuk masuk ke antarmuka pemilihan akun login. Pilih nama akun sistem yang baru saja Anda buat, dan masukkan kata sandi untuk akun tersebut dua kali (yang baru saja Anda minta untuk diingat), lalu klik "Terapkan" dan klik OK lagi untuk menyelesaikan pengaturan layanan. (Lihat Gambar 11)
Gambar 11: Ubah kata sandi akun untuk memulai dan masuk ke SRV-U. Selanjutnya, Anda perlu menggunakan alat manajemen FTP untuk membuat domain, lalu membuat akun, lalu memilih untuk menyimpannya di registri. (Lihat Gambar 12)
Gambar 12: Kata sandi pengguna FTP disimpan di registri
Buka registri untuk menguji izin yang sesuai, jika tidak, SERV-U tidak akan dimulai. Masukkan regedt32 di Start->Run dan klik "OK" untuk melanjutkan.
Temukan cabang [HKEY_LOCAL_MACHINESOFTWARECat Soft]. Klik kanan padanya, pilih Izin, lalu klik Lanjutan, batalkan izin warisan orang tua untuk menyebar ke objek ini dan semua objek anak, termasuk yang didefinisikan secara eksplisit di sini, klik "Terapkan" untuk melanjutkan, lalu hapus semua akun. Klik tombol "OK" lagi untuk melanjutkan. Sebuah kotak dialog akan muncul mengatakan "Anda telah menolak akses semua pengguna ke Cat Soft. Tidak ada yang dapat mengakses Cat Soft, dan hanya pemilik yang dapat mengubah izin. Apakah Anda ingin melanjutkan?", klik "Ya" untuk melanjutkan. Kemudian klik tombol Tambah untuk menambahkan akun SSERVU yang kita buat ke daftar izin subkunci dan memberikan izin kontrol penuh. Registri telah disiapkan di sini. Namun SERV-U belum bisa di-restart karena direktori instalasinya belum diatur.
Atur sekarang, pertahankan hanya akun administratif dan akun SSERVU Anda, dan berikan semua izin kecuali kontrol penuh. (Lihat Gambar 13)
Gambar 13: Pengaturan izin direktori instalasi SERV-U
Sekarang, restart layanan Server FTP Serv-U di layanan dan itu akan mulai normal. Tentu saja pengaturannya belum sepenuhnya selesai di sini. Pengguna FTP Anda masih tidak bisa login karena tidak memiliki izin, jadi Anda masih perlu mengatur izin direktori.
Misalkan Anda memiliki direktori WEB, jalurnya adalah d:web. Kemudian hapus semua kecuali administrator dan pengguna IIS di "Pengaturan Keamanan" direktori ini, lalu tambahkan akun SSERVU. Ingatlah untuk menghapus akun SISTEM juga. Mengapa kita perlu mengaturnya seperti ini? Karena SERV-U sekarang dimulai dengan akun SSERVU dan bukan izin SISTEM, jadi Anda tidak lagi menggunakan SISTEM untuk mengakses direktori tetapi SSERVU Saat ini, SISTEM tidak lagi berguna, jadi meskipun meluap, itu tidak akan terjadi dapatkan izin SISTEM. Selain itu, direktori akar disk tempat direktori WEB berada juga harus diatur untuk mengizinkan izin penelusuran dan membaca akun SSERV-U, dan mengonfirmasi bahwa hanya folder ini yang diatur dalam pengaturan lanjutan. (Lihat Gambar 14)
Gambar 14: Pengaturan izin pada disk tempat direktori WEB berada
Pada titik ini, semua pengaturan telah selesai. Pengaturan SERV-U saat ini diatur bersama dengan IIS. Karena akun yang berbeda digunakan dengan IIS, pengguna WEB tidak mungkin mengakses direktori SERV-U, dan direktori WEB tidak memberikan izin SISTEM, sehingga akun SISTEM tidak bisa. mengakses direktori WEB Dengan kata lain, meskipun Anda menggunakan MSSQL untuk mendapatkan izin pencadangan, Anda tidak dapat mencadangkan SHELL ke direktori WEB Anda. Anda dapat menggunakan SERV-U dengan aman.
Setelah instalasi selesai, akan muncul wizard yang memungkinkan Anda membuat domain dan akun. Klik Batal di sini untuk membatalkan wizard. Akun yang dibuat oleh wizard akan menyebabkan beberapa masalah, sehingga domain dan akun dibuat secara manual di bawah. (Lihat Gambar 4)
Gambar 4: Klik Batal untuk membatalkan wizard
Kemudian klik opsi di depan Mulai secara otomatis (layanan sistem), lalu klik tombol Mulai Server di bawah untuk menambahkan SERV-U ke layanan sistem, sehingga dapat dimulai dengan sistem tanpa harus memulainya secara manual setiap saat. (Lihat Gambar 5)
Gambar 5: Tambahkan SERV-U ke layanan
Selanjutnya akan muncul antarmuka seperti pada Gambar 6. Tetapkan kata sandi dengan mengklik Set/Ubah Kata Sandi.
Gambar 6: Klik Set/Change Password untuk mengatur kata sandi